エージェントレス マシンのスキャン
Microsoft Defender for Cloud を使うと、マシンのスキャンにより、Azure、AWS、GCP 環境に関するコンピューティングのポスチャが向上します。 要件とサポートについては、Defender for Cloud でのコンピューティングのサポート マトリックスに関する記事をご覧ください。
仮想マシン (VM) のためのエージェントレス スキャンでは、次の機能が提供されます。
- Microsoft Defender 脆弱性の管理を使用する、広範で円滑なソフトウェア インベントリの可視性。
- オペレーティング システムの構成とその他のマシン メタデータの詳細な分析。
- Defender 脆弱性の管理を使用した脆弱性評価。
- コンピューティング環境内のプレーンテキスト シークレットを見つけ出すシークレット スキャン。
- Microsoft Defender ウイルス対策を使用した、エージェントレス マルウェア スキャンによる脅威検出。
エージェントレス スキャンは、インストールされたエージェントやネットワーク接続を必要とせず、マシンのパフォーマンスに影響を与えずに、実施可能なポスチャの問題の洗い出しプロセスを支援します。 エージェントレス スキャンは、Defender クラウド セキュリティ態勢管理 (CSPM) プランと Defender for Servers P2 プランの両方で利用できます。
可用性
側面 | 詳細 |
---|---|
リリース状態: | GA |
価格: | Defender Cloud Security Posture Management (CSPM) または Microsoft Defender for Servers Plan 2 のどちらかが必要です |
サポートされているユース ケース: | 脆弱性評価 (Defender 脆弱性の管理を利用) ソフトウェア インベントリ (Defender 脆弱性の管理を利用) シークレット スキャン マルウェア スキャン Defender for Servers プラン 2 でのみ使用可能 Kubernetes ノードの保護 Azure Commercial クラウドの Defender for Servers P2 でのみ使用可能 |
クラウド: | Azure 商用クラウド Azure Government 21Vianet によって運営される Microsoft Azure 接続されている AWS アカウント 接続された GCP プロジェクト |
オペレーティング システム: | Windows Linux |
インスタンスとディスクの種類: | Azure 標準 VM アンマネージド ディスク 許容される最大合計ディスク サイズ: 4 TB (すべてのディスクの合計) 許可されるディスクの最大数: 6 仮想マシン スケール セット - Flex 仮想マシン スケール セット - Uniform AWS EC2 自動スケール インスタンス ProductCode (有料 AMI) を持つインスタンス GCP コンピューティング インスタンス インスタンス グループ (マネージドおよびアンマネージド) サポートされていないディスクの種類: VM のディスクのいずれかがこの一覧にある場合、VM のスキャンは行われません。 UltraSSD_LRS PremiumV2_LRS サポートされていないリソースの種類: Databricks VM |
暗号化: | Azure 非暗号化 暗号化済み – プラットフォームマネージド キー (PMK) と Azure Storage 暗号化を使用したマネージド ディスク 暗号化 – プラットフォームマネージド キー (PMK) を使用するその他のシナリオ 暗号化 – カスタマー マネージド キー (CMK) (プレビュー) AWS 非暗号化 暗号化 - PMK 暗号化 - CMK GCP Google マネージド暗号化キー カスタマー マネージド暗号化キー (CMEK) 顧客指定の暗号化キー (CSEK) |
エージェントレス スキャンのしくみ
VM のエージェントレス スキャンは、クラウド API を使用してデータを収集します。 一方、エージェント ベースの方法では、実行時にオペレーティング システムの API を使って、セキュリティ関連のデータを継続的に収集します。 Defender for Cloud は、VM のディスクのスナップショットを取得し、スナップショットに含まれるオペレーティング システムの構成とファイル システムの詳細な分析を帯域外で実行します。 コピーされたスナップショットは、VM と同じリージョンに保持されます。 VM はスキャンの影響を受けません。
コピーされたディスクから必要なメタデータを取得した後、Defender for Cloud はディスクのコピーされたスナップショットを直ちに削除し、構成のギャップと潜在的な脅威の検出のためにメタデータを Microsoft のエンジンに送信します。 たとえば、脆弱性評価では、Defender 脆弱性の管理によって分析が行われます。 Defender for Cloud の [セキュリティ アラート] ページに表示される結果には、エージェント ベースとエージェントレスの両方の結果がまとめられています。
ディスクを分析するスキャン環境は、一定の区域に限定され、揮発性で、隔離され、非常に安全になっています。 スキャンに関連しないディスク スナップショットとデータは、メタデータの収集に必要な時間 (通常は数分) より長く保存されることはありません。
関連するコンテンツ
この記事では、エージェントレス スキャンのしくみと、マシンからのデータの収集に役立つしくみについて説明します。
VM のエージェントレス スキャンを有効にする方法の詳細を確認してください。
エージェントレス スキャンに関する一般的な質問と、サブスクリプションとアカウントに対するその影響、エージェントレス データの収集、エージェントレス スキャンで使われるアクセス許可について確認する。